Siber Güvenlik Haberleri, Tehdit Analizi

Curly COMrades: Windows Hyper-V Sanallaştırması ile Linux VM Gizleme ve EDR Tespitinden Kaçış Teknikleri

Kasım 6, 2025Kasım 6, 2025Tarafından Cybernews.TR
45
Curly COMrades: Windows Hyper-V Sanallaştırması ile Linux VM Gizleme ve EDR Tespitinden Kaçış Teknikleri

Curly COMrades adlı tehdit aktörü, gelişmiş sanallaştırma tekniklerini kullanarak Windows Hyper-V üzerinde hafif Alpine Linux tabanlı sanal makineler (VM) oluşturuyor ve bu ortamlar içinde özel kötü amaçlı yazılımlarını barındırarak güvenlik çözümlerinden kaçıyor. Bitdefender’ın Ağustos 2025 raporuna göre, bu saldırganlar özellikle Gürcistan ve Moldova’yı hedef alan operasyonlarında Hyper-V rolünü etkinleştirerek 120MB disk alanı ve 256MB RAM ile çalışan minimal VM’ler kuruyorlar.

Özel Kötü Amaçlı Yazılım Ailesi: CurlyShell ve CurlCat

Curly COMrades, VM içinde CurlyShell ve CurlCat adlı iki özel kötü amaçlı yazılım ailesini çalıştırıyor. CurlyShell, C++ ile geliştirilmiş, başsız (headless) arka plan hizmeti olarak işlev görürken, komut ve kontrol (C2) sunucusuna HTTP GET ve POST istekleri üzerinden bağlanarak şifreli komutları yürütüyor. CurlCat ise SSH tabanlı ters proxy işlevi görerek çift yönlü veri aktarımını sağlıyor. Her iki yazılım da aynı kod tabanını paylaşmasına rağmen veri işleme yöntemlerinde farklılık gösteriyor; CurlyShell doğrudan komut yürütürken CurlCat trafiği SSH üzerinden yönlendiriyor.

Gelişmiş Sanallaştırma ve EDR Atlama Teknikleri

Saldırganlar, Windows 10 sistemlerinde Hyper-V’yi silahlandırarak VM içinde izole edilmiş bir çalışma ortamı kuruyor. Bu sayede ana bilgisayar tabanlı Endpoint Detection and Response (EDR) çözümlerinin tespit mekanizmaları etkisiz hale geliyor. VM ortamları, rastgele atanmış SSH portları üzerinden erişim sağlanacak şekilde yapılandırılıyor; bu da ağ trafiğinin analizini zorlaştırıyor. Ayrıca, MCP istemcisi benzeri modüler yapılar ve Pydantic AI destekli otomatik yapılandırma araçları kullanılarak kötü amaçlı yazılımın esnekliği artırılıyor.

Kullanılan Araçlar ve Teknikler

Curly COMrades, RuRat kalıcı uzaktan erişim aracı, Mimikatz kimlik bilgisi toplama aracı ve MucorAgent adlı modüler .NET implantı gibi çeşitli araçları da operasyonlarında kullanıyor. Bunların yanı sıra Resocks, Rsockstun, Ligolo-ng, CCProxy, Stunnel gibi proxy ve tünelleme çözümleri ile PowerShell tabanlı komut yürütme betikleri de aktif rol oynuyor. Bu araçlar, saldırganların komut ve kontrol kanallarını gizli tutmalarına ve ortamı sürekli güncellemelerine olanak sağlıyor.

Teknik Analiz ve Siber Güvenlik Perspektifi

Gürcistan CERT ile yapılan iş birliği sonucu gerçekleştirilen analizlerde, Curly COMrades’in Hyper-V tabanlı VM’lerdeki gizli ortamları tespit etmek için gelişmiş yöntemler geliştirildi. Ancak, VM izolasyonu ve ters proxy kullanımı, geleneksel EDR çözümlerinin yanı sıra bazı sandbox ve davranış analizi sistemlerinin de etkinliğini azaltıyor. AsyncRAT gibi modüler ve asenkron komut yürütme yeteneklerine sahip kötü amaçlı yazılımlarla benzerlikler taşıyan bu tehdit aktörü, operasyonlarını sürekli evrimleştirerek siber savunma mekanizmalarını zorlamaya devam ediyor.

Bu gelişmeler, sanallaştırma teknolojilerinin kötü amaçlı yazılım saldırılarında nasıl etkili şekilde kullanılabileceğine dair önemli bir örnek teşkil ediyor. Siber güvenlik profesyonellerinin, Hyper-V ve benzeri sanallaştırma platformlarındaki anormallikleri izlemek için özel telemetri ve davranış analizi yöntemleri geliştirmesi kritik hale geliyor.

, , , , , , ,